GDPR v kostce

Pomalu, ale jistě se blíží okamžik, kdy vstoupí v platnost tzv. GDPR neboli General data Protection Regulation, což je nové legislativní nařízení Evropské unie, které přináší jednotnou úpravu a v ní zakotvená nová a přísnější pravidla pro nakládání s osobními údaji. Tato pravidla se dotknou nás všech, ať už organizací ve státním sektoru, včetně neziskových organizací, firem i jednotlivců. Týká se všech, kteří nabízejí produkty či služby v Evropské Unii nebo shromažďují a analyzují data obyvatel EU. Za porušení nařízení GDPR bude možné uložit pokuty až do 20 miliónů EUR nebo 4% z celkového ročního obratu společnosti.

Co nás tedy čeká a nemine jak se na tyto změny připravit?

V prvé řadě je možná dobré si ujasnit co je a co není osobním údajem a co si lze představit pod pojem „zpracování osobních údajů“. Za osobní údaj můžeme považovat jakoukoliv informaci, která se týká identifikované nebo identifikovatelné fyzické osoby jako jméno, pohlaví, datum narození, bydliště, telefon, e-mail, IP adresa, MAC adresa, uživatelské jméno, cookies, GPS souřadnice nebo elektronický podpis. Zpracováním osobních údajů se pak rozumí jakákoliv operace s osobními údaji, kterými může být shromažďování, zaznamenávání, uspořádání, skrukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, šíření, omezení nebo také výmaz či zničení.

K tomu, aby Vaše společnost splňovala všechny podmínky stanovené tímto nařízením pro nakládání s osobními údaji, je třeba se soustředit na dodržování hlavních zásad, na kterých je nařízení postaveno. GDPR je založeno na dvou hlavních nových přístupech a to na principu odpovědnosti správce za dodržení zásad zpracování včetně schopnosti shodu se zásadami doložit, tj. např. prostřednictvím kodexu, osvědčení, certifikace nebo vedením záznamů o činnostech zpracování a principu rizika, kdy správce musí od samého počátku zpracování osobních údajů brát v úvahu rozsah, kontext, povahu a účel zpracování a zároveň průběžně kontrolovat možná rizika, která mohou mít značný dopad do oblasti práv a svobod fyzických osob. Mezi splnění hlavních zásad patří také správnost, transparentnost, účelové omezení, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost.

Povinností každého správce bude tedy především udělat si přehled a revizi v otázkách nastavení současného stavu zacházení s osobními údaji v porovnání s požadovaným stavem, za tímto účelem provést tzv. rozdílovou analýzu. Dokázat si odpovědět na otázky jaké osobní údaje uchovávám, k jakým účelům, z jakých zdrojů čerpám osobní údaje, jaký je právní titul pro zpracování osobních údajů (souhlas, smlouva, plnění právních povinností), jak je dále s těmito údaji nakládáno, zda jsou dodržovány práva subjektů osobních údajů (právo na přístup, opravu, výmaz, vznést námitku, na omezení zpracování), zároveň prověřit všechny právně závazné dokumenty, činnosti, postupy, provést tedy tzv. právní audit a připravit požadované změny a jejich zavedení u všech interních postupů a pracovních činností, které se týkají osobních údajů.

V rámci jednotlivých oddělení ve firmě se GDPR dotkne především revizí smluv a souhlasů, přípravy interní směrnice pro zacházení s osobními údaji, v oblasti marketingu například procesu oslovování zákazníků, komunikace se zákazníky, zde bude třeba věnovat pozornost především na nadstandartní péči o ochranu dat pro přímý marketing, v oblasti IT se bude jednat o šifrování, bezpečnost, zálohování, dále pak podmínky užívání kamerových systémů, evidence zaměstnanců.

Zodpovědnost za soulad s GDPR však ponese vždy správce v pozici nejvyššího managementu. Proto je třeba nepodcenit přijetí veškerých vhodných technických a organizačních opatření, aby byl váš systém nakládání s osobními údaji v souladu GDPR.

V případě zájmu o vytvoření analýzy, právního auditu a související právní pomoc s otázkami vztahujícími se k GDPR a jeho implementaci se můžete obrátit na:

JUDr. Michaela Švecová - advokátka

Mučednická 3, 616 00 Brno

Tel: 777 126 700

E-mail: kancelar@aksvecova.cz

www.aksvecova.cz